業務する環境をセキュアにした話 その6

技術 紛失事故防止 セキュリティ Chromebook エンジニア サービス開発部 エンジニアリング統括部 pickup

こんにちは✋

テクノロジー本部サービス開発部でエンジニアをしている @_k725 です。
大分暑くなり、冷えた飲み物とエアコンが手放せません。🎐

今日はサービス開発部で取り組んでいる、紛失事故防止の施策について紹介します。

デバイスの紛失事故

最近、記憶媒体やデバイスの紛失事故のニュースが世間をにぎわせています。

まだまだ感染症対策が欠かせませんしコロナも収まっていないですが、以前(2020年)に比べるとオフィスと自宅のハイブリッドで仕事をする機会も増え、それに伴って会食や宴席の機会も少しずつ戻ってきており、これが紛失要因の一つではないでしょうか。

楽しいお酒の翌営業日には自宅で仕事を行わなければなりません。そうすると、宴席会場にデバイスを持ち込み、酔ってしまってデバイスを紛失してしまう可能性が高くなります。 更にそのデバイスの中に顧客の個人情報などが入っていた場合は、重大なセキュリティ事故に直結してしまいます。

万が一でもそういったセキュリティ事故を起こしてしまった場合、損害賠償や社会的信用の低下を引き起こし、会社としての存続が危ぶまれてしまいますよね。

バランスをとった対策

これまで制限されていた会食や宴席にも、少しずつ日常が戻ってきて「久々に合うからお酒でも…」という気持ちはとても理解出来ます。(techtekt編集部員と @_k725 はハイボールが好きです ☺️)

一方で、先ほど記載したような紛失事故やセキュリティ事故は絶対にあってはなりません。

そこでサービス開発部では、 "もし" お酒の席に行く場合でも、ある程度利便性は保ちつつ事故を起こさない対策をいくつか考えました。
※大前提、内閣府や自治体が定める新型コロナウイルス感染症対策を徹底したうえで、節度ある対応を行っています。

対策としては、当たり前のことですが、以下のようなモノになります。

  • 出社する場合、PCは会社に置いて、翌日取りに行く
  • 予定を調整して、飲み会のある日は、PCを自宅に置いてその後お店に直行

何らかの事情で出社をした後に、宴席に参加しなければならないこともあるかと思いますが、とはいえ、翌日(翌営業日)に取りに行くのは億劫な部分もあります。

共有できるPCの配備

シンプルにオフィスに居る部内のメンバーなら誰でも使えるPCを何台か配備しました。

機材は異なりますが、業務する環境をセキュアにした話 その2 で紹介したChromebookです。

(この章のタイトルでお察しだとは思いますが "オフィスにPC持っていかなければ紛失しないじゃん論" です。)

ワイヤーで固定したChromebook

Chromebookもユーザーと同じく、Google Workspaceの組織階層に所属させることが出来るので人間用ではない組織を作成した上でデバイスを配置していきます。

その後、対象のChromebookを配置した組織階層で、そのChromebookにのみ適応したいルールを設定することが出来ます。

例えば、夜から所属オフィス近くで会食などがある場合には以下のような予定にします。
(コアタイムを除く時間に、休憩時間として移動。)
そうすればある程度、業務を進めながら夜の予定も済ませられると考えています。

スケジュールのイメージ
スケジュールのイメージ

自宅に環境を整えていると、会社で集中してコードを書くのは困難なケースもあるので、自分のパフォーマンスを最大限に発揮できるようにスケジュールしています。

現在は GitHub Codespaces なども導入できていないので開発向きではないですが、今後この辺りもカバー出来ればなと思います。

利用時のルール

とはいえ当たり前ですが、共有PCなので後で使う人が不便な思いをしないように気をつける必要があります。(使い終わったら消毒・清掃は徹底しましょう など)

現在、利用終了時には初期化(Powerwash)をするように利用ガイドとして書いていますが、ChromeOSにはユーザーデータに対して "すべてのローカル ユーザー データを消去" という機能が実装されています。

これはデバイスからサインアウトを行うと同時にデバイスから全てのユーザーデータを消去する機能で、上記の対処方法よりもスマートに思えます。 しかし、Googleはこの機能に関して、以下のようにヘルプページに記載しています。

登録済みの Chrome OS デバイスからユーザーがログアウトするたびに、ローカルに保存されている設定とユーザーデータをすべて削除するかどうかを指定します。デバイスから同期されたデータはクラウドに残りますが、デバイス自体には残りません。[すべてのローカル ユーザー データを消去] に設定すると、ユーザーが使用できる保存容量はデバイスの RAM 容量の半分に制限されます。このポリシーを管理対象ゲスト セッションと一緒に設定した場合、セッション名やアバターはキャッシュに保存されません。

注: デフォルトでは、Chrome OS デバイスはすべてのユーザーデータを暗号化し、複数のユーザーで共有する場合はディスク容量を自動的にクリーンアップします。デフォルトとなるこの動作はほとんどの環境に適しており、データのセキュリティと最適なユーザー エクスペリエンスを保証します。[すべてのローカル ユーザー データを消去] は、限定的な状況でのみ使用することをおすすめします。
https://support.google.com/chrome/a/answer/1375678?hl=ja#ephemeral_users_enabled&zippy=%2Cuser-data%2C%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E3%83%87%E3%83%BC%E3%82%BF

有効化しようとすると警告が表示される。

そういった事情もあり、都度都度リセットという形にしました。幸いChromeOSはリセットが高速に行われるので1~2分で出荷時に戻すことが出来ます。

この辺りも今後改善できると好ましいです。

それでは 👋

@_k725

@_k725さんのプロフィール

エンジニアリング統括部 サービス開発部 第3グループ エンジニア

お寿司が好きです🍣

※2022年6月現在の情報です。

We're Hiring!

サービス開発部では、新たなサービスなどを開発しています。

インフラや、各種業務を支えるエンジニアも絶賛募集中です!